以下是我要做的事情:
网站A显示HTML表单并从用户收集数据。表格和数据提交给网站B,网站B与A没有关联。
网站B使用用户的数据创建文件F. B向用户显示确认页面,然后将用户重定向回网站A,附加文件F.用户应该无法以任何方式编辑文件F.
网站A收集文件F并对其进行处理。
我知道HTML中的文件输入标记,但该标记仅用于将文件手动上载到服务器。大多数浏览器都会阻止通过JavaScript修改标记的值。
我认为网站B在确认页面中放置了一个表单,其中隐藏表单输入元素包含文件F的内容。这样,提交按钮会将文件内容作为POST数据传输到网站A.但是,这是不安全,因为一个狡猾的用户可以使用Inspect Element修改文件内容。
您对安全实施此建议有何建议?